Android WebView是否支持HSTS?
是的,第二个网站:http://caniuse.com/#search=hsts 自安卓4.4版本开始
主要变化:
证书固定
可信CA
添加调试CA
限制CA
添加CA层级...
但最重要的是在新的安卓N版本中启用一个res/xml/network_security_config.xml
文件,类似于这样:
https://koz.io/network-security-policy-configuration-for-android-apps/
<domain-config hstsEnforced=[True|False] cleartextTrafficPermitted=[True|False]>
<domain includeSubdomains=[True|False]>koz.io</domain>
<pin-set expiration="exp-date">
<pin digest=sha256>PaJOmDNhWkVBvuXfzqXMyfo7kgtGpcyZp6L8EqvM8Ck=</pin>
</pin-set>
这是来自谷歌的官方文档:https://developer.android.com/training/articles/security-config.html。